JasperReports

Die Schwachstelle steckt in der TIBCO JasperReports Library von TIBCO – einer weit verbreiteten Java-Bibliothek zum Erzeugen von Berichten, die auch im Kern der zugehörigen Server- und Cloud-Produkte sowie der ActiveMatrix-BPM- und Jaspersoft-Varianten steckt. Es handelt sich um einen Directory-Traversal-Fehler: In der Standardkonfiguration der Server-Implementierung prüft die Software einen Pfad nicht ausreichend, sodass sich über manipulierte Pfadangaben aus dem vorgesehenen Verzeichnis ausbrechen lässt. Dadurch können Nutzer des Webservers auf Inhalte des darunterliegenden Hostsystems zugreifen – also auf Dateien, die eigentlich außerhalb des Berichtsbereichs liegen und nicht für sie bestimmt sind. So lassen sich potenziell vertrauliche Informationen wie Konfigurationsdateien oder Zugangsdaten vom Server auslesen. Betroffen sind sowohl die kommerziellen als auch die Community-Ausgaben der Bibliothek und der Server sowie die für AWS angebotenen Jaspersoft-Varianten.